Heute möchte ich mal wieder eine kleine Bestandsaufnahme machen, welche Entwicklungen der Datenschutz zur Zeit weltweit durchmacht und immer auch einen kleinen Blick in die Glaskugel werfen, wohin die Reise gehen könnte.
Für die Entwicklungen in Europa sind ja meist die USA Vorreiter. Und wenn dort auch theoretisch die Freiheit des Individuums besonders hochgehalten wird, so sind die US-Behörden dennoch große Datenkraken.
Seit kurzem muss man für die Beantragung eines Visums auch die Benutzernamen seiner Social-Media-Profile angeben – und zwar alle, die man in den letzten fünf Jahren genutzt hat. Auf den Antragsformularen sind Social-Media-Plattformen vorgegeben. Ebenso wird man nach Telefonnummer und E-Mail-Adressen gefragt, alles unter dem Deckmantel der nationalen Sicherheitsinteressen. Diese Maßnahme galt bisher nur für Antragsteller, die zuvor in von Terrororganisationen kontrollierten Ländern waren. Nun sind fast alle der jährlich 15 Millionen Visa-Antragsteller betroffen; Westeuropäer sind im Rahmen eines Visa-Waiver-Programms jedoch ausgenommen.
Eine Stufe weiter geht da immer wieder die Türkei, die die Leute zwar einreisen lässt, sie aber dann aber vor Ort willkürlichen inhaftiert – oft weil man sich auf Facebook kritisch über den türkischen Präsidenten Erdoğan geäußert hat. Das Auswärtige Amt warnt, schon ein „Like“ oder ein Teilen könne für eine Festnahme ausreichen. Es sei außerdem davon auszugehen, dass auch nichtöffentliche Beiträge in sozialen Medien an die türkischen Strafverfolgungsbehörden weitergeleitet würden, „etwa durch anonyme Denunziation“.
Über Facebook hatte ich schon länger nicht mehr ausführlich berichtet. Das will ich nun überblicksartig nachholen:
- Die USA, Großbritannien und Australien fordern, bei der Verschlüsselung von Facebook-, WhatsApp- und Instagram-Nachrichten einen Zugang für Strafverfolger (also quasi nur für „die Guten“) offen zu lassen. Laut Facebook verringert das aber die Sicherheit. Dank Ende-zu-Ende-Verschlüsselung hat auch Facebook selbst keinen Zugriff darauf – und kann diesen auch bei gerichtlichen Anordnungen nicht umsetzen.
- Das Bundeskartellamt hat versucht durchzusetzen, dass Facebook die Daten seiner Dienste wie Instagram und WhatsApp oder von Websites anderer Anbieter nur noch dann mit dem Facebook-Konto des Nutzers verknüpfen darf, wenn dieser ausdrücklich zustimmt. Das Bundeskartellamt hatte dabei erstmals Datenschutzvorschriften mit dem Wettbewerbsrecht verknüpft und argumentiert, dass der Konzern unfaire Vertragsbedingungen nur deshalb durchsetzen kann, weil er eine marktbeherrschende Stellung habe. Das zuständige Gericht ließ diese Auffassung nicht zu, denn die Datenverarbeitung durch Facebook lasse keinen relevanten Wettbewerbsschaden erkennen. Das Kartellamt will nun vor den Bundesgerichtshof ziehen, die Aussichten sind aber auch hier gering. Wieder einmal stoßen Recht und Ordnung bei den Internetgiganten an ihre Grenzen, kritisieren Wettbewerbsrechtler.
- Facebook stellt seinen Nutzern aber inzwischen freiwillig eine neue Funktion für mehr Datenschutz zur Verfügung: Nutzer sollen künftig Daten einsehen und entfernen können, die andere Websites an Facebook übermitteln und widersprechen können, dass derartige Daten künftig mit ihrem Konto verknüpft werden. (Dann werden sie nur noch anonymisiert übertragen…) Danach dürfte es dann keine personalisierte Werbung anhand anderer besuchter Webseiten mehr geben.
- Ein weitreichenderes Urteil betrifft Facebooks beliebten „Like“-Button: Wenn man diesen direkt auf seiner Website integriert, kann der Besucher ohne Umweg über Facebook direkt die Unternehmens-Seite liken. Technisch führt dies beim Aufruf der Seite dazu, dass Daten des Besuchers der Website auch an Server von Facebook übertragen werden, egal ob diese nun liken oder nicht und egal, ob diese Facebook-Accounts haben oder nicht. Und genau das hielt ein Verbraucherverband ohne eine Einwilligung für unzulässig und klagte. Es gab einiges Hin und Her zwischen den Gerichten, aber das Urteil lautet: Websites, die den Like-Button einbinden, müssen die Nutzer darüber informieren, etwa durch eine Pop-Up-Warnung, in der auf die Datenschutzbestimmungen hingewiesen wird oder durch die weniger aggressive „Zwei-Klick-Lösung“, bei der zunächst nur ein Bild des Like-Buttons eingeblendet wird und erst nach einem Klick darauf die Datenübermittlung beginnt. Dabei geht es jedoch nur um die Erhebung und Übermittlung der Daten – hier liegt eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO Für die anschließende Verarbeitung der Informationen ist Facebook allein zuständig. Anbieter von Internetseiten tun sich also einen Gefallen damit, bei der Einbindung von Inhalten, die zu Aufrufen von Servern Dritter führen, Zurückhaltung zu bewahren und sich gewissenhaft zu fragen, ob diese Aufrufe für den Betrieb der Website erforderlich sind. Nur dann ist eine Einwilligung nämlich nicht erforderlich. Über die „gemeinsame Verantwortlichkeit“ gab es schon seit dem Fanpage-Urteil des EuGH Streit. Bitkom rät Fanpage-Betreibern nun zu einem Datenschutz-Vertrag mit Facebook, um im Rahmen der „gemeinsamen Verantwortlichkeit“ die jeweiligen Zuständigkeitsbereiche zu definieren.
- Das Bundesverwaltungsgericht hat indes entschieden, dass Aufsichtsbehörden „grundsätzlich“ das Abschalten einer gewerblichen Facebook-Fanpage anordnen können, wenn die Datenverarbeitung rechtswidrig ist. Letzteres wiederum muss aber ein Gericht entscheiden.
Auch Verbrecher werden inzwischen transnational verfolgt: Die EU diskutiert derzeit eine „E-Evidence-Verordnung“, die Provider zur Preisgabe von Kundendaten an die Justiz im Ausland verpflichtet. So dürfte z.B. ein irischer Staatsanwalt, ohne dass ein deutscher Richter als (Datenschutz-)Kontrollinstanz dazwischengeschaltet wäre, von der Deutschen Telekom die PIN- und IP-Nummern eines Verdächtigen sowie sämtliche Informationen, wann und wo der Verdächtige einen Internetdienst in Anspruch genommen hat und was in seinen Nachrichten oder E-Mails steht, anfordern. Die Prüfung, ob die Anfrage in Einklang mit dem deutschen Datenschutz steht, würde dann nur noch der privaten Firma und deren Rechtsabteilung obliegen. Die Kooperation soll sowohl EU-weit als auch mit den USA erfolgen. Es stimmt zwar: Die digitale Strafverfolgung dauert immer noch viel zu lange und scheitert allzu oft an schwerfälligen Bürokratien und nationalen Egoismen (Stichwort „Rechtshilfeersuchen“). Aber es stimmt auch: Die Verordnung würde in der gegenwärtigen Form die vom Grundgesetz geschützte Privatsphäre der Bürger verletzen. Eine E-Evidence-Verordnung setzt nämlich voraus, dass in den Vertragsstaaten weitgehend gleiche Rechtsstandards gelten. Doch gerade beim Datenschutz existieren nach wie vor gewaltige Unterschiede. Das deutsche „Grundrecht auf informationelle Selbstbestimmung“ gibt es beispielsweise in kaum einem EU-Land – und schon gar nicht in den USA. Es bleibt abzuwarten, wie das Europäische Parlament noch Einfluss auf diesen Vorschlag der Kommission nimmt.
Seit Einführung der DSGVO gehen pikanterweise auch öfter Daten an den Falschen – und das obwohl die DSGVO ja eigentlich für mehr Datenschutz sorgen sollte. Unternehmen müssen nun auf Anfrage gespeicherte Daten herausgeben – doch die Identität des Abfragestellers wird nicht immer geprüft. Damit kann das gesamte digitale Ich in falsche Hände geraten. Ein Doktorand hat das kürzlich ausprobiert und durch 150 DSGVO-Anfragen Kreditkartendaten, Geburtsdaten, Passwörter und Sozialversicherungsnummern seiner (eingeweihten) Verlobten in die Hände bekommen! Unternehmen sehen sich hier in einem Dilemma: Natürlich wollen sie Bußgeldzahlungen verhindern und geben die Daten deswegen heraus. Zugleich müssen sie auch die Identität feststellen. Beides ist natürlich nicht immer schnell und sorgfältig möglich, weil das Know-How und die Zeit fehlen. Vielleicht muss die DSGVO hier noch einmal nachgebessert werden.
Was gab es noch…? Dank EuGH ist nun klar, dass der Speicherung von Cookies auf jeglicher Webseite wirklich aktiv zugestimmt werden muss. Eine voreingestellte Zustimmung zum Speichern der Daten ist unzulässig. Und der Bundesrat hat die nationalen Vorgaben der DSGVO ein bisschen gelockert: Nicht mehr ab 10, sondern jetzt erst ab 20 Mitarbeitern, die im Verein oder Betrieb ständig mit personenbezogenen Daten zu tun haben, ist künftig ein Datenschutzbeauftragter Pflicht. Außerdem muss die Einwilligung von Beschäftigten zur Datenverarbeitung nicht mehr zwingend schriftlich erfolgen – künftig reicht auch eine E-Mail.
Nach dem großen Wurf mit der DSGVO im letzten Jahr beschäftigen wir uns jetzt also wieder mit dem Klein-Klein und den Detailfragen. Die DSGVO bietet eine gute Grundlage für den Datenschutz in den nächsten zehn und vielleicht auch in den nächsten zwanzig Jahren. Es hat sich gezeigt, dass sie auch eine gute Grundlage für andere Länder wie Japan ist. Allerdings, wie knifflige Detailfragen, gerade im Umgang mit den Tech-Giganten zeigen, sind noch lang nicht alle Details rechtlich abschließend geklärt – entweder stehen Gerichtsurteile noch aus oder es fehlen einfach entsprechende Gesetze.